CentOS 7.5에 NTP 4.2.6p5가 설치되어 있습니다. "네트워크 시간 프로토콜 다중 보안 취약점" 취약점으로 인해 최신 NTP 4.2.8p13 버전으로 업그레이드해야 합니다.
이제 문제는 yum whatprovides.
[root@6ef77e1541c7 ~]# yum whatprovides ntp
ntp-4.2.6p5-28.el7.centos.x86_64 : The NTP daemon and utilities
Repo : base
이 취약점을 해결하기 위해 NTP를 최신 버전 4.2.8p13으로 업그레이드하는 방법을 아는 사람이 있습니까?
편집-1
소스에서 NTP 최신 버전을 설치했지만 소스에서 설치할 때 서비스를 어떻게 시작하는지 잘 모르겠습니다.
또한 이전 rpm 패키지를 제거했습니다.
편집-2
CVE-2015-7871, CVE-2015-7855, CVE-2015-7854, CVE-2015-7853, CVE-2015-7852, CVE-
2015-7851, CVE-2015-7850, CVE-2015-7849, CVE-2015-7848, CVE-2015-7701, CVE-
2015-7703, CVE-2015-7704, CVE-2015-7705, CVE-2015-7691, CVE-2015-7692, CVE-
2015-7702
답변1
실제로 CentOS의 패키지를 사용해야 합니다. 여기에는 모든 백포트 수정 사항이 포함되어 있으며 NTP가 다른 CVE를 게시할 때마다 다시 빌드해야 하는 소스에서 빌드 솔루션과 달리 CentOS는 계속해서 보안 업데이트를 수정합니다.
"yum update ntp"를 실행하면 다음과 같은 메시지가 나타납니다.다음 CVE가 모두 해결되었습니다.. 해당 CVE가 해결되지 않았다고 말하는 사람은 누구나 해당 페이지도 살펴보아야 합니다. Redhat은 이들 중 다수에 대해 el7의 ntp 패키지도 영향을 받지 않는다고 말합니다.
보안 감사자를 맹목적으로 믿지 마십시오. 대부분 그들은 Windows 컴퓨터에서 도구를 실행하도록 훈련을 받고(Linux에 대해 알고 있다면 운이 좋습니다) 결과를 앵무새처럼 다루며 어떻게 작동하는지 깊이 이해하지 못하는 사람들일 뿐입니다. 엔터프라이즈 Linux OS가 작동합니다. Redhat(및 후속 CentOS)은 보안 수정 사항을 안정적인 패키지 버전으로 백포트합니다. 최신 버전의 자체 빌드를 유지하는 것은 실제로더이제 보안 수정 사항이 있을 때마다 다시 빌드해야 하기 때문에 보안 위험이 있습니다.
편집: 또한 보안 감사자나 ntp를 최신 버전으로 업그레이드하라고 지시하는 사람에게 읽어보라고 지시하십시오.백포트에 대한 Redhat의 논의
.
답변2
많은 호스트 간의 안정성과 빠른 수렴 및 시간 유지를 위해 ntp 대신 chrony를 사용하고 있습니다. 실제로 저는 RHEL/Centos 7.x에서 chrony가 기본적으로 제공되는 기본 네트워크 시간 패키지라고 생각합니다.
그러나 배포판의 동기화 상태를 유지하려면 공급업체에서 새 버전이 출시될 때까지 기다리면 됩니다. RHEL/Centos의 경우 패키지에 나열된 기본 버전은 일반적으로 주요 포인트 시스템 개정 기간 동안 전혀 변경되지 않습니다. 패치가 백포트되고 -#이 변경 사항을 반영하게 됩니다. 따라서 패키지 인벤토리가 하나의 버전을 나타내더라도 현재 버전으로 업데이트될 수 있습니다. 이로 인해 관리자가 패키지의 특정 버전 번호를 전체적으로 확인하고 비교하기가 어렵습니다.
정말로 새 버전으로 업그레이드하고 싶다면 소스 패키지를 다운로드하여 이를 기반으로 새 버전을 얻을 수 있습니다. 중요한 일부 패키지에 대해 이 작업을 수행해야 했습니다. 그다지 어렵지는 않지만 이미 존재하는 모든 패치를 제거해야 합니다.